数据审计时代审计风险及其控制

[提要] 在2016年全国审计工作会议上，刘家义强调：“要运用大数据，创新审计技术方法，推进以大数据为核心的审计信息化建设是应对未来挑战的重要法宝，也是实现审计全覆盖的必由之路”。为此，本文从审计变革（数据审计）时代的特点出发，分析数据审计时代审计风险的形成，探讨数据审计时代审计风险的控制与防范对策。

关键词：数据审计；审计风险；控制方法

中图分类号：F239 文献标识码：A

原标题：数据审计时代审计风险控制的探究

收录日期：2017年1月20日

一、审计变革：数据审计时代

在大数据时代的背景下，对于“大数据”（Big data）研究机构Gartner给出了这样的定义：“大数据”是需要新处理模式才能具有更强的决策力、洞察发现力和流程优化能力来适应海量、高增长率和多样化的信息资产。强调了公司企业的商业成功模式从数据拥有量的大小向公司对于数据的解读、处理能力大小转变。对于很多行业而言，传统的商业竞争更多地表现为“数据的战争”。大数据拥有以下特点（5V）：第一，数据容量巨大（Volume），数据的吞吐量从过去的GB、TB为单位跃升至ZB甚至更大的PB；第二，处理速度快（Velocity），即资料输入、输出的速度快，要求在以秒为单位的时间内进行数据处理，否则数据就失去价值了，这一点对数据的挖掘技术有了更高的要求；第三，数据种类多（Variety），数据呈现出更多种类的表现形式，数据的来源形式也呈现出复杂的多样性，数据的多样性给数据带来了更强的生命力；第四，商业价值高（Value）。集聚的数据具有更高的商业价值，数据不再单独分割，更多地表现为一个数据的云层；第五，真实性（Veracity），处理数据时，对数据的真实性有了更高的要求，只有真实的高质量的数据才能真正起到支持决策的作用。

近年来，云计算、物联网和移动互联网的不断演进与发展使大数据资产的价值愈加重要，技术的互相融合势必放大和强化大数据对各行各业的影响。这对于审计行业而言，面临的是一种数据审计思维模式。在根植于大数据的“数据审计”时代下，企业的人、财、物有了更为深度的融合，被审计企业的生产经营情况、被审计企业的各部门间的财务活动痕迹产生了大量多样性的数据，这些数据包括被审计单位营运信息系统数据、管理层等各方的网络数据、智能化设备的监控数据。审计从业人员需要思考，如何通过这些产生的大量数据来构建治理审计模式、提升风险评估的数据化支撑能力、摆脱传统风险导向审计模式的局限、转变数据处理治理审计模式，要求具备更高的数据识别、处理、挖掘能力，在海量数据中识别出对有助于改进审计工作质量、降低审计风险的信息，支持相关决策者和信息使用者作出相关决策，实现审计全覆盖。

二、数据审计时代审计风险分析

传统的审计风险模型是由美国注册会计师协会（AICPA）于1983年提出的，它用数学模型表示为：AR=IR×CR×DR。其中：AR指审计风险（Audit Risk），IR指固有风险（Inherent Risk），CR指控制风险（Control Risk），DR指检查风险（Detection Risk）。在数据审计背景下，审计的风险表现形式有了更丰富的表现形式，突出表现在固定风险和检查风险。数据的安全性风险对原有的固有风险组成产生了影响，数据的运用与以及分析的难度上升也将导致审计检查风险的提升。随着大数据时代的发展，传统的风险导向审计模型的缺陷日益凸显。因此，新准则制定了新的审计风险模型：审计风险=重大错报风险×检查风险，其中，重大错报风险包括两个层次：一是会计报表整体层次；二是交易类别、账户余额、披露和相关陈述层次，会计报表整体层次的重大错报风险是指同会计报表整体关系紧密的重大错报风险或对许多认定都有潜在影的重大错报风险。所以，在数据审计背景下，实施数据风险评估程序，基于审计人员职业判断的基础上，更应该专注于获取数据本身所产生的风险。同时，审计人员应注重利用大数据信息对被审计单位的控制环境进行分析，识别出存在的数据风险点，形成数据审计模式。

随着世界迈入大数据DT时代，被审计单位所处的内外市场环境愈发复杂，相比IT时代被审计单位将面临更大的风险压力，审计主体也将面临比之前更大的出现重大错报风险的可能性。审计人员审计后发表不恰当审计意见的可能性也将加大。而在传统的风险导向审计模式中，仍然采用的是抽样审计的模式。抽样审计的模式是依赖对审计对象总体筛选一些样本进行测试，并根据样本情况推断总体情况。但在数据审计时代下，审计抽样的工作变得更加复杂，抽取具有代表性的风险样本同样无法避免固有的风险误差，无法准确地反映出总体的情况，加之，各类被审计单位的内源性和外源性数据高度粘合，增加了数据抽样工作产生的数据误差，这些数据误差增加了审计人员发表不恰当审计意见的可能性，从而导致数据审计风险的增加。

在数据审计时代，审计单位和被审计单位的信息博弈日趋激烈。根据信息不对称理论可以研断，信息博弈双方之中掌握数据信息优势的被审计单位在博弈中占据有利地位，而会计师事务所则处于信息劣势。而处于信息优势的被审计单位会利用其自身的信息作出对另一方不利的决策，从而出现逆向选择的现象。根据委托-理论，处于人一方的审计单位往往是处于信息劣势的一方，作为委托方的被审计单位往往利用其信息的优势，产生隐瞒真实的财务数据、编制虚假财务报告、进行财务舞弊的风险，尤其是对处于亏损经营性企业而言，企业舞弊的可能性更大。而作为审计单位而言，鉴于自身生存压力，为了抢夺客户，为了迎合客户需求，往往将审计程序简化，减少审计成本，很多审计程序往往都流于形式，这都增加了审计人员发表不恰当审计意见的风险。

在此基础之上，作为财务报表信息使用者的利益相关者对方的审计单位具有很高的审计期望，尤其在大量数据中需要找出前瞻性数据的投资决策者而言，他们对审计质量的期望容易与实际的审计工作质量产生差距，一方面财务信息使用者希望审计人员能够客观工正地开展审计工作，保证相关财务报表能披露单位真实的财务信息和经营状况；另一方面审计单位收取了委托企业的审计费用，应该站在被审计单位的立场上开展审计工作。这就使得审计单位处于一个矛盾的地位，使得审计人员苦恼于应站在哪一方的立场上出具审计意见，无形中产生了一定的数据审计风险。

三、数据审计时代审计风险控制措施

数据审计时代的到来，对于独立审计行业带来的影响，更大程度上是基于云计算、物联网和移动互联网技术层面引起的一种科研范式的变革，如何对被审计单位的海量信息进行整合，进而进行数据分析和数据预测，以降低审计风险和提高审计工作效率提出如下控制措施。

（一）采用总体抽样法替代原有的抽样审计方法。在数据审计时代，审计工作的测试程序不再依赖抽样分析，而可以采集和处理事物整体的全部数据。被审计单位的数据更为透明化，而且更为详实，审计人员只需要通过云端技术连接被审计单位内部信息系统获取全部相关信息。过去的抽样审计工作模式是基于成本效益的原则，无法对每一笔业务进行详细地审查，从而产生了抽样审计。抽样审计尽管抽取的样本具有代表性，但无法完全消除其固有风险。但在数据审计时代下，审计人员通过云计算技术可以完全实现对被审计单位信息的全样本抽样，并且对审计证据等信息获取的成本也大大降低，通过对总体抽样方法的实现，更新了审计检查技术，对全样本的分析，大大减少了审计人员出现检查失误的风险，从而减少了审计人员出具错误审计意见的可能性，加强对数据审计风险的防范。

（二）加强审计人员信息运用、挖掘、预测能力的培养。审计人员的工作能力、职业素养的高低一直是审计风险产生的主体原因。在风险导向审计工作模式下，要求审计工作人员具备识别被审计单位重大错报风险的能力，分析被审计单位所处的行业风险、企业战略层面上的风险能力。这些能力一般来源于审计人员的专业判断，它来自于审计人员综合素质和丰富的实践经验，以及行业知识的丰富程度。在数据审计时代下，一方面对审计人员专业胜任能力提出了更高的要求。具体表现在：要求审计人员具备一定的计算机、互联网以及相关数据分析软件的技术运用能力，在大数据环境下开展数据审计工作，通过获取被审计单位内外部相关的财务数据、行业数据、供应链运行数据、控制环境数据等，对数据进行深度地挖掘、分析，预测出未来被审计单位的相关能力高低、现金流量大小、行业变化情况等，对高价值高质量的信息进行有效整合，以支撑审计人员出具正确客观的审计意见，降低审计风险；另一方面审计人员应该利用大数据给人们带来的获取数据更为便利这一优势，加强相关经验交流学习，建立多行业的经验交流平台，借助互联网平台实时关注相关行业的内外部环境变化，进行信息交互，提升自身的工作能力与实践经验，以达到数据审计时代下对审计工作效率提升的这一要求。提高对被审计单位的信息获取和处置能力，有助于审计人员与被审计单位在信息博弈中取得优势地位，掌握更多的有效信息，有助于识别被审计单位的舞弊动机，降低审计风险。

（三）建立完善被审计单位数据库。数据审计环境下要求被审计单位必须建立起一个完善的中心数据库，被审计单位的各类信息都将储存在此数据库内，涵盖了各项相关经济活动的信息、实物资产、人力资源等，并且通过互联网存储在云端。审计人员可以通过互联网与中心数据库进行连接，直接获取被审计单位的相关信息和财务数据，对被审计单位的各项经济活动进行有效的监控，对各项实物资产进行实时的盘点，提高审计工作效率的同时，能够对重大错报风险进行有效的防范。诸如獐子岛事件再一次强调了存货监盘的重要性，在数据审计环境下，此类事件完全可以避免，通过连接被审计单位的中心数据库实施对被审计单位的存货实施实时的监盘，同时在互联网同时获取气象、水文等数据进行分析，有效地预见“冷水团”对生物性资产的影响，识别出存货存在的相关风险。同时，被审计单位要及时升级相关的软件和硬件，以防范潜在的信息安全风险，数据审计时代面临着数据量的爆发性冲击，要适时地对相关财务软件进行升级，定期维护。审计人员应进行相关数据的维护，确保有关信息的保密性，做好数据采集、数据集成、数据清洗等工作，防范错误信息对审计工作的影响。可以加强以下两个环节的控制：一是防止APT攻击。借助大数据处理技术，针对APT安全攻击能力隐蔽、潜伏长、攻击方式和方法不确定等特征，设计具备实时检测能力与事后回溯能力的全流程审计方案，预防并阻止运行隐藏有病毒的应用软件、程序；二是用户访问限制。可以根据数据的秘级程度和审计查询需求设定不同的权限等级，并严格控制用户访问权限。

（四）被审计单位塑造有控制观念的企业文化。完善的内部控制制度是实现控制目标的重要保证，也是降低审计风险的重要手段。在数据审计时代，需要进一步完善被审计单位的内部信息系统，利用信息技术手段，对被审计单位相关的经营活动进行有效的监督，以保证其活动合法合规，确保财务报告及相关信息真实完整，审计人员通过被审计单位的内部信息系统的运行情况，评价内部控制制度的有效性，监督其是否得到有效的实行。被审计单位应利用大数据时代数据的开放性、透明性，通过互联网进行内部控制制度设计的交流实习，学习其他企业的内部控制制度的可取之处。

有效的内部控制制度设计可以有效地防范管理层舞弊，而有效的内部控制仰赖企业成员的控制意识，企业文化是内部控制要素的组成部分。在大数据时代下塑造控制观念的企业文化，培养员工的控制意识，凸显出其重要性。从东芝公司审计失败事件看出，有效的内部控制制度以及先进的企业文化建设关乎一个公司的存亡。历史达百年之久的制造业巨头日本东芝公司因公司财务舞弊导致公司信誉瞬间崩塌，其根源在于其家族式的企业文化致使管理层可以凌驾于内部控制之上，高管一言堂，内部审计失效，管理层可以任意操纵利润，大规模参与会计造假，审计人员发生道德风险及缺乏谨慎性使其过分依赖东芝内部审计机构，未能有效对东芝内部控制系统、重要性水平及审计风险进行恰当性评估致使最终审计失败。

主要参考文献：

[1]张云.大数据背景下的图书馆发展问题与策略[J].信息技术与信息化，2014.5.

[2]龙子午，王云鹏.大数据时代对CPA审计风险与审计质量的影响探究[J].会计之友，2016.8.

[3]沈红波.风险导向审计的新发展[J].财会月刊（理论版），2006.4.

[4]戴璐，王洪波.\谈大数据环境下审计风险的防范对策[J].科技创业月刊，2015.13.

[5]秦荣生.大数据云计算技术对审计的影响研究[J].审计研究，2014.13.